Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Lundi 18 mai 2026
Accueil/RGPD/Article 43 RGPD : l'organisme de certification décrypté
RGPD

Article 43 RGPD : l'organisme de certification décrypté

Article 43 RGPD : agrément des organismes de certification, COFRAC, ISO 17065, cinq conditions cumulatives. Analyse paragraphe par paragraphe.

Par Thiebaut DevergrannePublie le 15 mai 2026Mis a jour le 15 mai 202622 min de lecture
Sommaire
  1. Ce que dit l’article 43 du RGPD
  2. Art. 43(1) : la double porte d’entrée et l’articulation avec la CNIL
  3. Art. 43(2) : les cinq conditions cumulatives d’agrément
  4. Art. 43(3) : les exigences techniques de l’agrément
  5. Art. 43(4) : la responsabilité de l’évaluation et la durée d’agrément
  6. Art. 43(5) : l’obligation de motivation des décisions
  7. Art. 43(6) : la publicité des critères et le registre du CEPD
  8. Art. 43(7) : le retrait d’agrément
  9. Art. 43(8) et 43(9) : les pouvoirs résiduels de la Commission
  10. Distinguer organisme de certification, monitoring body, organisme de conseil
  11. Plan opérationnel : choisir et travailler avec un organisme de certification
  12. Ce qu’il faut retenir
  13. FAQ

Le 21 juin 2018, la CNIL a adopté la délibération n° 2018-219 qui a définitivement choisi, pour la France, le modèle d’agrément des organismes de certification au titre de l’Art. 42 du RGPD : pas d’agrément délivré directement par la CNIL, mais une co-construction avec l’instance nationale d’accréditation — le COFRAC — sur le socle de la norme ISO/IEC 17065. Cette décision, en apparence technique, a structuré durablement l’écosystème français de la certification RGPD : les organismes qui délivrent des certifications opposables au sens de l’Art. 42 ne sont ni des cabinets de conseil, ni des autorités administratives, mais des tiers accrédités selon une norme internationale d’évaluation de la conformité, soumis à un référentiel CNIL supplémentaire et inscrits dans un registre public. L’Art. 43 du RGPD est l’article qui rend tout cela juridiquement possible. Il anatomise les conditions d’agrément, la durée maximale de cinq ans, et l’articulation entre autorité de contrôle et instance d’accréditation, sans laquelle le système de certification européen ne tiendrait pas.

Ce que dit l’article 43 du RGPD

L’Art. 43 s’intitule « Organismes de certification ». Il figure au chapitre IV section 5 du RGPD, immédiatement après l’Art. 42 sur la certification qu’il opérationnalise, et il complète la trilogie ouverte par l’Art. 40 sur les codes de conduite et son pendant procédural l’Art. 41 sur les organismes de suivi. Sa structure est plus dense que celle de l’Art. 42 : neuf paragraphes qui couvrent la double porte d’entrée (Art. 43(1)), les cinq conditions cumulatives d’agrément (Art. 43(2)), les exigences techniques applicables (Art. 43(3)), la durée et l’effet (Art. 43(4)), l’obligation de motivation des décisions de certification (Art. 43(5)), la publicité des critères (Art. 43(6)), le mécanisme de retrait d’agrément (Art. 43(7)), et les pouvoirs résiduels de la Commission européenne (Art. 43(8) et 43(9)).

Là où l’Art. 42 décrit ce qu’est une certification RGPD, l’Art. 43 décrit qui peut la délivrer. Cette distinction est juridiquement déterminante. Une attestation émise par un organisme non agréé au sens de l’Art. 43 — qu’il s’appelle « certificateur », « auditeur RGPD » ou « cabinet de labellisation » — ne produit pas les effets que le RGPD attache à la certification : ni élément de preuve d’accountability au titre de l’Art. 24(3), ni circonstance atténuante au titre de l’Art. 83(2)(j), ni instrument autonome de transferts internationaux au titre de l’Art. 46(2)(f). L’agrément Art. 43 est la condition d’existence juridique de la certification Art. 42.

Les sanctions encourues en cas de manquement par un organisme de certification à ses obligations relèvent du plafond bas de l’Art. 83(4)(b) du RGPD — jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial — sans préjudice du retrait d’agrément prévu à l’Art. 43(7).

Art. 43(1) : la double porte d’entrée et l’articulation avec la CNIL

L’Art. 43(1) est la disposition cardinale de tout le dispositif. Sans préjudice des missions et des pouvoirs de l’autorité de contrôle au titre des articles 57 et 58, les organismes de certification disposant d’un niveau d’expertise approprié en matière de protection des données délivrent et renouvellent les certifications, après en avoir informé l’autorité de contrôle pour qu’elle puisse exercer au besoin son pouvoir de retrait au titre de l’Art. 58(2)(h). Les États membres veillent à ce que ces organismes soient agréés par l’une ou les deux entités suivantes : l’autorité de contrôle elle-même, ou l’organisme national d’accréditation désigné en application du règlement (CE) n° 765/2008, sur la base de la norme EN-ISO/IEC 17065/2012 et d’exigences supplémentaires établies par l’autorité de contrôle.

Trois enseignements pratiques structurent cette disposition. Premier enseignement : le législateur européen offre aux États membres un choix d’architecture. Certains États ont opté pour la voie pure de l’Art. 43(1)(a) — agrément par l’autorité de contrôle elle-même — c’est le cas de l’Espagne avec l’AEPD. D’autres ont opté pour la voie de l’Art. 43(1)(b) — agrément par l’instance d’accréditation sur la base de l’ISO 17065 augmentée — c’est le cas de l’Allemagne avec la DAkkS. La France a fait, par la délibération CNIL n° 2018-219 du 21 juin 2018, le choix de la voie 1(b) exclusive : aucun organisme de certification ne sera agréé directement par la CNIL ; tous passeront par le COFRAC sur la base de l’ISO 17065 complétée par les exigences supplémentaires de la CNIL.

Deuxième enseignement : l’obligation d’information préalable de l’autorité de contrôle. Avant chaque délivrance ou retrait de certification, l’organisme informe la CNIL — non pour solliciter son accord, mais pour lui permettre d’exercer si elle l’estime nécessaire le pouvoir résiduel de retrait que lui confère l’Art. 58(2)(h). Ce pouvoir est rarement exercé, mais il existe : la CNIL peut, en dernier ressort, ordonner à un organisme certifié de cesser de se prévaloir de la certification, quand bien même l’organisme de certification ne l’aurait pas retirée.

Troisième enseignement : la norme ISO/IEC 17065 Évaluation de la conformité — Exigences pour les organismes certifiant les produits, les procédés et les services est le socle commun à l’ensemble du dispositif. Cette norme, publiée par l’ISO en 2012, fixe le cadre d’impartialité, de compétence et de cohérence applicable à tout organisme de certification — quel que soit l’objet certifié. L’innovation de l’Art. 43 consiste à appliquer cette grammaire générale à la protection des données et à la compléter d’exigences spécifiques (gestion des conflits d’intérêts, expertise au regard de l’objet de la certification, articulation avec les autorités de contrôle), formalisées en France par la délibération CNIL n° 2019-103 du 5 septembre 2019 portant adoption du référentiel d’agrément des organismes de certification du DPO et précisée par les lignes directrices 4/2018 du Comité européen de la protection des données.

Art. 43(2) : les cinq conditions cumulatives d’agrément

L’Art. 43(2) énonce cinq conditions cumulatives d’agrément, sans hiérarchie. Aucune n’est facultative.

La première condition, énoncée à l’Art. 43(2)(a), est l’indépendance et l’expertise au regard de l’objet de la certification. L’expertise doit être démontrée à la satisfaction de l’autorité de contrôle — ce qui suppose, en France, une grille d’évaluation fixée dans le référentiel CNIL. L’expertise est appréciée au regard de l’objet de la certification : un organisme accrédité pour certifier les compétences de DPO n’est pas, par voie de conséquence, accrédité pour certifier des opérations de traitement dans le cloud ou des services adtech. Chaque schéma de certification donne lieu à une accréditation séparée. L’indépendance, quant à elle, recoupe largement les exigences de l’ISO 17065 : indépendance organique vis-à-vis du certifié, indépendance financière, indépendance opérationnelle.

La deuxième condition, énoncée à l’Art. 43(2)(b), est l’engagement de respecter les critères de certification approuvés au titre de l’Art. 42(5) — soit par l’autorité de contrôle compétente sur le fondement de l’Art. 58(3)(f), soit par le CEPD sur le fondement de l’Art. 63 pour le sceau européen. Cette condition est plus exigeante qu’il n’y paraît : l’organisme s’engage non seulement à appliquer la grille publiée, mais aussi à l’appliquer de manière constante, vérifiable, et auditable par l’autorité de contrôle.

La troisième condition, énoncée à l’Art. 43(2)©, exige que l’organisme dispose de procédures écrites pour la délivrance, l’examen périodique et le retrait des certifications. Ce triptyque — délivrance, examen périodique, retrait — est structurant : l’audit annuel de surveillance, le réexamen complet à trois ans (durée maximale d’une certification Art. 42(7)), et la procédure de retrait en cas de non-conformité doivent être documentés. En pratique, cela suppose un manuel qualité, des grilles d’audit, une procédure de décision, et un dispositif de recours interne pour l’entité certifiée.

La quatrième condition, énoncée à l’Art. 43(2)(d), exige des procédures et structures pour traiter les réclamations relatives à des violations de la certification ou à la manière dont elle a été mise en œuvre par le responsable de traitement ou le sous-traitant. Ces procédures doivent être transparentes pour les personnes concernées et pour le public. C’est l’une des innovations notables du RGPD par rapport à l’ISO 17065 standard : la certification est ouverte à la contestation par les personnes concernées (et pas seulement par l’entité certifiée ou par l’autorité de contrôle), ce qui crée un canal de signalement parallèle à celui de l’Art. 77 sur la réclamation auprès de la CNIL.

La cinquième condition, énoncée à l’Art. 43(2)(e), est l’absence de conflit d’intérêts. Elle est démontrée à la satisfaction de l’autorité de contrôle. Cette condition vise principalement le risque d’un organisme qui exercerait simultanément une activité de conseil RGPD auprès des entités qu’il certifie. En droit français, la frontière est strictement appliquée : un organisme de certification ne peut pas conseiller son client, sauf à mettre en place des murailles de Chine documentées et auditables. Le référentiel CNIL d’agrément, repris des exigences de l’ISO 17065, prévoit que l’organisme ne peut pas avoir audité ou conseillé l’entité dans les deux années précédant la certification.

Dans ma pratique de conseil auprès d’entreprises confrontées au choix d’un organisme certificateur, j’invite systématiquement à vérifier deux points dans le contrat : le périmètre exact de l’accréditation de l’organisme (un organisme accrédité Europrivacy n’est pas, ipso facto, accrédité pour certifier les compétences DPO), et l’engagement de l’organisme sur le délai de signalement à la CNIL en cas de retrait ou de refus de certification, point que prévoit l’Art. 43(5).

Art. 43(3) : les exigences techniques de l’agrément

L’Art. 43(3) précise que l’agrément des organismes de certification s’effectue sur la base d’exigences approuvées par l’autorité de contrôle au titre des articles 55 ou 56, ou par le CEPD au titre de l’Art. 63. Dans le cas d’un agrément par voie d’accréditation (Art. 43(1)(b)), ces exigences viennent compléter celles déjà prévues par le règlement (CE) n° 765/2008 et les règles techniques décrivant les méthodes et procédures des organismes de certification.

Cette articulation à deux étages — règlement européen 765/2008 + norme ISO 17065 + exigences supplémentaires de l’autorité de contrôle — est ce qui caractérise techniquement la voie française. Le règlement 765/2008 fixe le cadre général de l’accréditation européenne (un seul organisme d’accréditation par État membre, principe de non-concurrence entre instances d’accréditation, reconnaissance mutuelle entre États membres au sein de l’European co-operation for Accreditation, EA). La norme ISO 17065 fixe la grammaire de l’organisme certificateur. Les exigences supplémentaires de la CNIL — formalisées par la délibération n° 2018-219 du 21 juin 2018 et précisées par les délibérations n° 2018-316, n° 2018-317 et n° 2018-318 du 20 septembre 2018 pour la certification des compétences DPO — ajoutent les éléments spécifiques à la protection des données : expertise juridique, articulation avec les pouvoirs de la CNIL, gestion des plaintes des personnes concernées, accès aux registres et aux contrats de sous-traitance Art. 28.

Les Lignes directrices 4/2018 v3.0 du Comité européen de la protection des données du 4 juin 2019, adoptées sur le fondement de l’Art. 70(1)(o), précisent les exigences supplémentaires applicables à l’agrément des organismes de certification — elles sont l’instrument de cohérence européenne du dispositif.

Art. 43(4) : la responsabilité de l’évaluation et la durée d’agrément

L’Art. 43(4) confie à l’organisme de certification la responsabilité de procéder à l’évaluation conduisant à la délivrance ou au retrait de la certification, sans préjudice de la responsabilité du responsable de traitement ou du sous-traitant. Ce dédoublement de responsabilité est important : l’organisme certifie sur la base de l’évaluation, mais l’entité certifiée demeure pleinement responsable du respect du RGPD. Une certification frauduleuse ou complaisante engage la responsabilité civile de l’organisme — sans exonérer le certifié.

Le même paragraphe fixe la durée maximale d’agrément à cinq ans, renouvelable dans les mêmes conditions tant que l’organisme satisfait aux exigences. Cette durée est à distinguer de la durée maximale d’une certification individuelle, qui est de trois ans au titre de l’Art. 42(7). L’écosystème comporte donc deux horloges : l’horloge de l’agrément (5 ans, à renouveler par audit de l’instance d’accréditation), et l’horloge de la certification (3 ans, à renouveler par audit de l’organisme de certification auprès de l’entité certifiée).

En France, les premiers agréments d’organismes de certification pour le référentiel DPO ont été délivrés en 2018-2019. AFNOR Certification, Bureau Veritas Certification et LSTI figurent au registre des organismes accrédités. Leurs agréments font l’objet de renouvellements quinquennaux soumis à audit COFRAC sur place et à confirmation de la CNIL.

Art. 43(5) : l’obligation de motivation des décisions

L’Art. 43(5) impose à l’organisme de certification de communiquer à l’autorité de contrôle compétente les raisons de l’octroi ou du retrait de la certification demandée. Cette obligation, en apparence procédurale, structure le contrôle qualité du dispositif. Elle permet à la CNIL d’identifier les patterns problématiques : organisme qui refuserait systématiquement la certification à certaines catégories d’opérateurs, organisme qui délivrerait des certifications sans audit suffisant, organisme qui retirerait sans motivation suffisante.

En pratique, la communication à la CNIL prend la forme d’un rapport résumant les éléments saillants de l’audit, les écarts identifiés, les actions correctives mises en œuvre, et la motivation finale. Ce rapport est confidentiel à l’égard du public mais accessible à l’autorité de contrôle. Il alimente la veille de la CNIL sur l’évolution des pratiques sectorielles et peut, dans certains cas, déclencher des contrôles indépendants au titre de l’Art. 58.

L’obligation de motivation est l’un des points qui distingue le dispositif de l’Art. 43 d’une certification privée classique : la décision de l’organisme n’est pas un acte de marché libre, mais une décision motivée susceptible de remontée à l’autorité publique.

Art. 43(6) : la publicité des critères et le registre du CEPD

L’Art. 43(6) impose que les exigences applicables aux organismes de certification (Art. 43(3)) et les critères de certification (Art. 42(5)) soient publiés par l’autorité de contrôle sous une forme aisément accessible. Les autorités de contrôle communiquent également ces exigences au CEPD. Le CEPD consigne dans un registre tous les mécanismes de certification et labels en matière de protection des données et les met à la disposition du public par tout moyen approprié.

Ce registre est disponible sur le site officiel du CEPD (edpb.europa.eu) dans la rubrique Certification mechanisms, seals and marks. Il liste, à mai 2026, plusieurs schémas de certification approuvés au plan national (notamment en Espagne, Italie, Allemagne, Luxembourg) et le seul European Data Protection Seal approuvé à ce jour — Europrivacy — sur le fondement de l’avis CEPD 28/2022 du 10 octobre 2022. La consultation du registre est le premier réflexe pour vérifier l’authenticité d’une certification présentée par un prestataire.

Cette obligation de transparence est aussi ce qui permet de distinguer une certification Art. 42 RGPD d’une simple norme privée (ISO 27701, par exemple), même très utile : seuls les schémas inscrits au registre du CEPD produisent les effets juridiques attachés à la certification au sens du RGPD.

Art. 43(7) : le retrait d’agrément

L’Art. 43(7) prévoit le mécanisme de retrait d’agrément : sans préjudice du chapitre VIII sur les voies de recours, l’autorité de contrôle compétente ou l’organisme national d’accréditation révoque l’agrément accordé à un organisme de certification si les conditions de l’agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l’organisme constituent une violation du RGPD.

Trois hypothèses sont envisagées par cette disposition : la perte d’une condition initiale (par exemple un conflit d’intérêts apparu après l’agrément), la défaillance dans l’exécution (procédures non appliquées, refus de coopération avec l’autorité de contrôle, défaillance dans le traitement des réclamations Art. 43(2)(d)), et la violation directe du RGPD par l’organisme lui-même (par exemple manquement aux obligations applicables à son propre traitement des données dans le cadre des audits qu’il conduit).

À ma connaissance, aucun retrait d’agrément d’un organisme de certification n’a été prononcé en France depuis l’entrée en vigueur du RGPD, ni dans aucun autre État membre. L’absence de retrait ne signifie pas l’absence de contrôle : le COFRAC procède à des audits quinquennaux complets et à des audits intermédiaires de surveillance, et la CNIL peut, à tout moment, signaler une difficulté qui déclenche le réexamen de l’agrément.

Pour les entités certifiées par un organisme dont l’agrément serait retiré, la conséquence pratique mérite attention. La certification individuelle (Art. 42) cesse de produire ses effets à partir du retrait de l’agrément. Une période transitoire peut être prévue pour permettre une transition vers un autre organisme accrédité, mais l’effet juridique de la certification (élément de preuve d’accountability, circonstance atténuante Art. 83(2)(j)) disparaît. Ce risque doit être anticipé dans la sélection initiale de l’organisme : choisir un acteur établi, accrédité depuis plusieurs cycles, et présent dans plusieurs États membres réduit l’exposition.

Art. 43(8) et 43(9) : les pouvoirs résiduels de la Commission

Les deux derniers paragraphes de l’Art. 43 confèrent à la Commission européenne deux pouvoirs distincts. L’Art. 43(8) l’habilite à adopter des actes délégués en conformité avec l’Art. 92, aux fins de préciser les exigences à prendre en considération pour les mécanismes de certification. L’Art. 43(9) l’habilite à adopter des actes d’exécution établissant des règles techniques pour les mécanismes de certification et les labels et marques, ainsi que les mécanismes visant à promouvoir et reconnaître ces dispositifs.

Aucun acte délégué ni acte d’exécution n’a été adopté sur ces deux fondements à la date de mai 2026. La stratégie de la Commission a privilégié, jusqu’à présent, l’auto-organisation par les autorités de contrôle nationales et le CEPD, et la concentration de l’effort réglementaire sur d’autres instruments (clauses contractuelles types 2021/914, décisions d’adéquation au titre de l’Art. 45, schémas de cybersécurité au titre du Cybersecurity Act et du Cyber Resilience Act). La possibilité d’une future intervention de la Commission demeure toutefois ouverte, en particulier si le besoin d’une harmonisation européenne plus poussée se faisait jour pour des secteurs critiques.

Distinguer organisme de certification, monitoring body, organisme de conseil

Une part importante des malentendus rencontrés en pratique tient à la confusion entre quatre acteurs juridiquement distincts.

L’organisme de certification au sens de l’Art. 43 est un tiers agréé, soumis à l’ISO 17065 et au référentiel CNIL, qui délivre des certifications produisant les effets juridiques de l’Art. 42 RGPD. Sa rémunération est encadrée par la transparence tarifaire, son agrément est limité à un périmètre précis, et il ne peut pas conseiller le certifié.

L’organisme de suivi des codes de conduite au sens de l’Art. 41 est un tiers agréé pour contrôler le respect d’un code de conduite Art. 40 par ses adhérents. Sa logique est sectorielle (un secteur, un code, un organisme) et son pouvoir est correctif (avertissement, suspension, exclusion du code), pas certificatif. L’archétype européen est SCOPE Europe pour l’EU Cloud Code of Conduct.

L’organisme de conseil RGPD ou auditeur indépendant est un prestataire privé qui propose des audits de conformité, des programmes de mise en conformité, ou des accompagnements DPO externalisé. Il ne délivre aucune certification au sens de l’Art. 42 et ne dispose d’aucune accréditation au titre de l’Art. 43. Ses livrables sont contractuels, pas opposables erga omnes. Cette catégorie représente l’écrasante majorité du marché du conseil RGPD en France ; elle est légitime et utile, mais ne se confond pas avec la certification.

L’organisme délivrant des certifications privées comme l’ISO 27001, l’ISO 27701, le HDS (Hébergeur de Données de Santé) ou le SOC 2 délivre des certifications qui peuvent constituer des éléments de preuve d’accountability et faciliter la démonstration de mesures techniques au sens de l’Art. 32, mais qui ne sont pas des certifications Art. 42 RGPD. Elles relèvent de la cartographie ISO ou de référentiels nationaux (ANSSI pour SecNumCloud, ASIP-Santé pour HDS), pas du registre du CEPD.

Plan opérationnel : choisir et travailler avec un organisme de certification

Pour une entreprise qui envisage la certification, six chantiers structurent la démarche.

Premier chantier : qualification du périmètre certifiable. Définir le produit, le service, le processus ou l’activité à certifier, et vérifier qu’un schéma approuvé existe au registre du CEPD pour ce périmètre. Tous les périmètres ne sont pas certifiables : par exemple, à mai 2026, aucun schéma général « conformité RGPD entreprise » n’est approuvé, contrairement à ce que suggère parfois la communication marketing.

Deuxième chantier : sélection de l’organisme de certification. Vérifier l’accréditation COFRAC pour le périmètre exact (et pas seulement l’accréditation générale), vérifier l’inscription de l’organisme sur le site du COFRAC et du CEPD, vérifier l’expérience sectorielle, demander des références d’entités certifiées du même secteur. Sur le marché français, AFNOR Certification, Bureau Veritas et LSTI sont les acteurs historiques pour le référentiel DPO ; pour Europrivacy, une trentaine d’organismes accrédités opèrent à l’échelle européenne.

Troisième chantier : contractualisation. Le contrat avec l’organisme doit prévoir le périmètre exact, le calendrier d’audit (initial + surveillance + renouvellement à 3 ans), le tarif total (initial + audits annuels + renouvellement), les engagements de confidentialité, l’articulation avec les enquêtes éventuelles de la CNIL au titre de l’Art. 58, le délai de signalement par l’organisme en cas de retrait, et les modalités de recours interne en cas de désaccord sur la décision.

Quatrième chantier : préparation à l’audit. Constitution du dossier de conformité : registre des activités de traitement au sens de l’Art. 30, contrats de sous-traitance Art. 28, mentions d’information au sens des Art. 13 et Art. 14, procédures de gestion des droits des personnes, analyses d’impact lorsqu’elles sont requises, documentation des mesures de sécurité Art. 32, registre des violations Art. 33-34. C’est ce travail de documentation que Legiscope industrialise pour les PME-ETI qui envisagent une certification.

Cinquième chantier : conduite de l’audit et levée des écarts. L’audit initial Europrivacy mobilise 5 à 15 jours-homme côté entreprise selon la taille et le périmètre. Les écarts identifiés donnent lieu à un plan d’action validé par l’organisme avant délivrance. Une certification n’est jamais délivrée avec des écarts majeurs ouverts.

Sixième chantier : maintien et renouvellement. L’audit annuel de surveillance vérifie le maintien des conditions ; le renouvellement triennal procède à un réexamen complet. La gouvernance interne doit prévoir un certification owner qui pilote ce cycle, généralement le DPO ou le responsable conformité, articulé avec la direction juridique et la direction des systèmes d’information.

Ce qu’il faut retenir

  • L’Art. 43 du RGPD définit le régime d’agrément des organismes de certification : c’est lui qui rend juridiquement opérationnelle la certification au sens de l’Art. 42.
  • La France a fait le choix exclusif de la voie d’accréditation par le COFRAC (Art. 43(1)(b)) sur la base de l’ISO/IEC 17065 augmentée du référentiel CNIL adopté par la délibération n° 2018-219 du 21 juin 2018.
  • L’agrément repose sur cinq conditions cumulatives : indépendance et expertise, engagement sur les critères, procédures écrites, mécanisme de réclamations, absence de conflit d’intérêts.
  • L’agrément a une durée maximale de cinq ans ; la certification individuelle au titre de l’Art. 42(7) a une durée maximale de trois ans. Deux horloges distinctes.
  • Une certification émise par un organisme non agréé ne produit pas les effets juridiques attachés à l’Art. 42 (accountability, circonstance atténuante Art. 83(2)(j), transferts Art. 46(2)(f)).
  • Le registre du CEPD (edpb.europa.eu) est l’instrument de vérification de l’authenticité d’une certification présentée par un prestataire.

FAQ

Qui peut délivrer une certification au sens de l’Art. 42 du RGPD ?

Seuls les organismes de certification agréés au titre de l’Art. 43 — soit par l’autorité de contrôle (Art. 43(1)(a)), soit par l’instance nationale d’accréditation (Art. 43(1)(b)). En France, la CNIL a choisi exclusivement la seconde voie, ce qui signifie que tous les organismes français sont accrédités par le COFRAC sur la base de l’ISO/IEC 17065 augmentée du référentiel CNIL. Les principaux organismes accrédités en France sont AFNOR Certification, Bureau Veritas Certification et LSTI.

Quelle est la différence entre une certification ISO 27701 et une certification Art. 42 RGPD ?

L’ISO 27701 est une norme privée internationale qui étend l’ISO 27001 à la protection de la vie privée. Une certification ISO 27701 est utile et peut constituer un élément de preuve d’accountability au titre de l’Art. 24(3), mais elle n’est pas une certification au sens de l’Art. 42 du RGPD : elle n’est pas inscrite au registre du CEPD, elle ne produit pas les effets juridiques de l’Art. 42 (notamment la circonstance atténuante Art. 83(2)(j) et la qualification de transferts Art. 46(2)(f)), et l’organisme qui la délivre n’est pas agréé au titre de l’Art. 43.

Combien coûte la certification d’un organisme de certification au titre de l’Art. 43 ?

Le coût d’obtention d’un agrément COFRAC pour un nouvel organisme de certification souhaitant opérer sur le marché RGPD français est élevé : il faut compter entre 80 000 € et 200 000 € en coûts directs sur 12 à 24 mois (audit initial COFRAC, constitution du système qualité, documentation des procédures), auxquels s’ajoutent les coûts internes de recrutement d’auditeurs qualifiés. Le renouvellement quinquennal coûte de l’ordre de 30 000 à 60 000 €. Ces coûts expliquent la concentration du marché autour d’un nombre limité d’acteurs.

Que se passe-t-il si l’agrément de mon organisme certificateur est retiré ?

La certification que vous avez obtenue cesse de produire ses effets juridiques à partir du retrait de l’agrément, sauf période transitoire spécifiquement aménagée. C’est l’un des risques à anticiper en sélectionnant l’organisme : privilégier les acteurs établis depuis plusieurs cycles d’accréditation, accrédités dans plusieurs États membres, et adossés à des structures financières solides réduit cette exposition. Pour autant, l’entreprise certifiée reste responsable de sa conformité au RGPD indépendamment de la certification ; le retrait de l’agrément de l’organisme n’efface ni les efforts de mise en conformité conduits ni leur effet en termes d’accountability au titre de l’Art. 24(3).

Comment vérifier qu’une certification présentée par un prestataire est une vraie certification Art. 42 RGPD ?

Trois vérifications cumulatives. Premièrement, vérifier que le schéma de certification est inscrit au registre public du CEPD (edpb.europa.eu, rubrique Certification mechanisms, seals and marks). Deuxièmement, vérifier que l’organisme certificateur figure parmi les organismes accrédités pour ce schéma précis (registre COFRAC en France pour les schémas français, registres nationaux ailleurs). Troisièmement, vérifier le périmètre exact de la certification dans le document remis : objet certifié, version, date d’émission, date d’expiration (3 ans maximum au titre de l’Art. 42(7)). Une certification présentée sans ces trois éléments est, au mieux, une attestation privée.

Vous souhaitez recevoir nos analyses approfondies sur la conformité RGPD, les évolutions de la CNIL et du CEPD, et les décisions structurantes en droit de la protection des données ? Inscrivez-vous à la newsletter — analyses hebdomadaires, sans bruit, par un docteur en droit, ancien des services du Premier ministre.

Articles lies

RGPD

Article 85 RGPD : liberté d'expression et journalisme

18 mai 2026 · 22 min
RGPD

Article 87 RGPD : l'encadrement du NIR décrypté

17 mai 2026 · 18 min
RGPD

Article 89 RGPD : recherche, archivage et statistique

17 mai 2026 · 18 min